Концепция защиты ИТ-инфраструктуры от современных угроз

Концепция защиты ИТ-инфраструктуры от современных угроз

Практические рекомендации инженеров компании netwave по защите предприятия от современных угроз

ОРГАНИЗАЦИОННЫЕ МЕРЫ

1. Создание и контроль выполнения политики безопасности организации. Политика в частности должна включать:

  • Стратегию защиты ИТ-инфраструктуры организации.
  • Набор правил, по которым создается, обрабатывается и хранится информация на предприятии.
  • Правила своевременного обновления ПО и ответственные работники.
  • Резервное копирование и восстановление данных. Необходимо регулярно создавать резервные копии бизнес-систем и критически важных данных. Резервные копии должны храниться на отдельных носителях информации, которые физически отделены от целевых систем. Целостность и полнота резервных копий должна регулярно проверяться путем штатного восстановления.
  • План действий по локализации, блокирования распространения, и восстановление после атак.

2. Правила использования учетных записей в организации, которые включают:

  • Персонифицированный административный доступ. Запрет использования общих административных учетных записей.
  • Использование различных учетных записей для выполнения различных административных задач:

— для администрирования домена;

— для администрирования серверов (различные записи для различных функций);

— для администрирования ПК пользователей;

— для администрирования собственного ПК.

  • Запрет осуществлять регулярные задачи по использованию административных учетных записей.

— Администраторы должны работать на своих ПК под стандартными учетными записями с правами уровня обычного пользователя.

— Работа по администрированию информационных систем должна осуществляться с отдельного выделенного терминального сервера управления (или специализированных систем PAM), а не непосредственно из пользовательского ПК.

— Использование администратором для определенных работ соответствующего аккаунта должно строго контролироваться.

— Запрет использования учетных записей администраторов домена для задач, не связанных с администрированием контроллеров доменов.

  • Гранулярная детализация прав доступа сервисных учетных записей. Учетные записи для функционирования различных служб и ПО должны иметь минимально необходимый уровень прав, достаточный для работы конкретного сервиса. Соблюдение принципа максимально полной персонификации: каждое ПО может использовать отдельный аккаунт.

4. Регулярное обучение всех пользователей организации основам информационной безопасности, включающее:

  • правила работы с критическими системами организации,
  • правила работы с информацией, поступающей из внешних непроверенных источников,
  • проведения регулярного среза знаний для контроля усвоения информации.

3. Регулярное обучение и повышение квалификации ИТ-специалистов и администраторов в области современных угроз и методов защиты на системах и решениях, которые эксплуатируются в организации.

5. Проведение тестовых атак, в том числе с использованием методов «социальной инженерии», для проверки осведомленности пользователей в правилах безопасности организации и уровне защищенности информационных систем.

 

ТЕХНИЧЕСКИЕ МЕРЫ

ЗАЩИТА СЕТИ

1. Внедрение контроля на периметре корпоративной сети, включая:

  • Использование сетевых экранов с функциями контроля на прикладном уровне (Application Visibility) и противодействия вторжений (IPS) – Next Generation Firewall (NGFW). Обязательное расположение публичных сервисов в отдельных демилитаризованных зонах (ДМЗ). Настройка конкретизированных правил доступа для контроля потоков данных и отказ от использования общих сущностей типа «any», «all».
  • Использование веб-шлюза безопасности (прокси сервиса) для контроля доступа пользователей организации к сети Интернет. Настройка блокировки доступа к ресурсам с запрещенной тематикой, плохой репутацией, высоким уровнем риска, фишинговых ресурсов. Выполнение антивирусной проверки и контентной фильтрации загружаемых файлов. Блокировка загрузки исполняемых файлов для общей группы пользователей. Настройка полной инспекции SSL для выявления угроз в зашифрованном трафике. Запрет использования безусловных белых списков доступа к внешним ресурсам и белые списки внутренних систем в обход правил контентной проверки.
  • Использование почтового шлюза безопасности для защиты корпоративной почты от спама и внешних угроз. Настройка для входящих писем антивирусной проверки и правил фильтрации контента по типу файла и расширению. Блокировка письма или удаление вложения с выполняемыми типами файлов и офисных документов с макросами. Проверка URL-ссылок в тексте писем и во вложении на принадлежность к опасным и запрещенным ресурсам, с высокой степенью риска и фишинга. Запрет использования безусловных белых списков для внешних и внутренних отправителей в обход систем контентной проверки.
  • Передача информации между площадками организации и при удаленном доступе пользователей через WAN и Интернет-каналы связи должна осуществляться только с помощью VPN-технологий с использованием надлежащего уровня шифрования (AES-256 и выше).
  • Контроль доступа внешних партнеров и подрядчиков к ресурсам организации. Доступ необходимо предоставлять только через защищенное VPN соединение (AES-256 и выше) с использованием промежуточного терминального сервера (Jump Host), а также обязательным мониторингом и фиксацией выполненных действий.

 

2. Контроль локальной сети

  • Настройка сегментации локальной сети согласно функционального назначения. Разделение серверных сегментов сетей в зависимости от сервисов. Запрет создания сегментов с большим количеством систем. Выполнение микросегментации для сетевого отделения особо критичных систем и сервисов.
  • Настройка технологий изоляции портов (Port Isolation/Private VLAN) на коммутаторах доступа пользователей для запрета прямого взаимодействия между пользовательскими системами.
  • Настройка технологий противодействия атакам типа ARP Spoofing и фальшивых DHCP-серверов (ARP Inspection, DHCP Snooping) для предотвращения перехвата трафика.
  • Блокировка любого прямого сетевого взаимодействия между промышленной (АСУТП, ATM и т.д.) и корпоративной сетями. Связь между сегментами осуществлять только через прокси-сервисы, расположенные в демилитаризованных зонах на стыке сетей. Трафик между ДМЗ и промышленной, а также ДМЗ и корпоративной сетями контролировать с помощью сетевых экранов.

 

ЗАЩИТА СИСТЕМ

1. Повышение защищенности систем (System Hardening), эксплуатируемых в организации (сетевых устройств, серверных и пользовательских систем) для «уменьшения поверхности» возможной атаки:

Удаление и отключение лишних компонентов и служб, которые не используются и не нужны в рабочем процессе.

Отключение и блокировка работы устаревших протоколов (NTLM, SMBv1 т.д.).

Внедрение механизмов и мер по противодействию получения паролей из памяти и системных процессов (Mimikatz): использование Protected Users Group, отключение WDigest тому подобное.

https://jimshaver.net/2016/02/14/defending-against-mimikatz/

https://adsecurity.org/?page_id=1821

Запрет создания локальных учетных записей или изменения их паролей доменными политиками, поскольку информация об этом аккаунте и его пароль легкодоступны всем пользователям сети.

https://adsecurity.org/?p=384

https://adsecurity.org/?p=2288

2. Регулярное обновление системного и прикладного ПО (Patch Management). Необходимо обеспечить своевременное тестирование и оперативное установки обновлений безопасности для системного и прикладного программного обеспечения с учетом уровня критичности и приоритетов.

3. Включение и блокировки механизма автоматического определения прокси-серверов WPAD и протокола широковещательного разрешения имен LLMNR.

4. По возможности отказаться от использования сетевых дисков и предоставлять отдаленные файловые ресурсы в виде ярлыков.

5. Наличие установленного актуального антивирусного программного обеспечения на серверных и пользовательских системах организации. Регулярное обновление антивирусных компонентов и баз данных сигнатур. Запрет возможности рядовым пользователям локально изменять конфигурацию антивирусного ПО и выключать модуле.

6. Наличие на системах организации установленного решение Host IPS с активированным функционалом:

  • сетевого экрана с настроенными минимально необходимыми для работы разрешительными правилами;
  • сигнатурной защиты от атак, как на сетевом уровне, так и в рамках самой системы;
  • ограничения запуска и выполнения программ с недоверенных директорий (например, временных директорий% tmp% и директорий с настройками программ% appdata%);
  • блокирования вмешательства неизвестных процессов в работу и системную память других;
  • поведенческий анализ действий программного обеспечения процессов и блокирования в случае подозрительной активности;
  • блокировки дочерних процессов, которые порождают офисные документы.\

7. Наличие функционала контроля запуска приложений и программ (Application Control), включающий возможность:

  • создания списков разрешенного программного обеспечения на рабочей станции;
  • проверку репутации исполняемых файлов в облаке;
  • контроль обновления только проверенными программами, из доверенных источников, авторизованными пользователями.

8. Наличие решения для контроля подключения периферийных устройств и съемных носителей до рабочих станций организации. Настройка правил для разрешения подключения только проверенных корпоративных носителей.

9. Наличие решения для быстрой проверки корпоративных систем по заданным индикаторам (наличие файлов, веток реестра, запущенных процессов) и возможности выполнения действий (создание/копирование/удаление файлов, запуск/завершение процессов и т.д.).

 

ДОПОЛНИТЕЛЬНЫЕ МЕРЫ

1. Наличие внедренного решения 802.1x и Network Access Control (NAC) для предотвращения несанкционированного подключения посторонних устройств в корпоративную сеть и обеспечения предоставления только необходимого сетевого доступа в зависимости от функциональных обязанностей пользователя и состояния устройства. Решение должно обеспечить:

  • Контроль устройств, подключаемых в корпоративную сеть. Блокировка сторонних устройств.
  • Гранулированный доступ в сеть по результатам авторизации (политика доступа в зависимости от пользователя, времени, способа, места подключения и типа устройства).
  • Возможность реализовать предварительную проверку устройств на соответствие перед подключением к корпоративной сети (NAC): наличие установленного антивируса и других продуктов, актуальность последних обновлений.
  • Автоматизированный карантин по индикатору компрометации. В случае компрометации любого из хостов в корпоративной сети для локализации и предотвращения распространения вирусной эпидемии необходимо обеспечить автоматизированное отключение узла от сети или перевода его на карантин с блокировкой всех сетевых соединений.

2. Наличие специализированного средства «Песочницы» (Sandbox) для статического (анализ кода) и динамического (запуск в тестовой среде) анализа неизвестных файлов на предмет выявления их вредоносных действий. Для повышения эффективности антивирусной защиты в противодействии атакам типа «Zero-Day» решение Sandbox необходимо интегрировать с максимальным количеством систем защиты: сетевыми экранами веб и почтовыми шлюзами, средствами защиты на конечных системах. Также системы этого класса могут использоваться администраторами, как дополнительный инструмента в исследовании угроз.

3. Использование системы контроля действий привилегированных пользователей – Privilege Access Management (PAM). Предоставление доступа к критическим систем только с помощью решения, обеспечивая:

  • сбор, запись и анализ активности привилегированных пользователей;
  • детектирования рискованных действий до того, как это приведет к вредным последствиям;
  • возможность взаимодействия с пользователем, который выполняет рискованные операции, и блокирования его сессии.

4. Наличие системы мониторинга и профилирования сетевых потоков (Network Behavior Analysis, NBA) для определения штатного профиля трафика организации и выявление отклонений от «нормального» поведения. Настройка сбора информации о трафике по всем ключевым сетевым устройствам организации для полноты видимости и анализа потоков данных.

5. Наличие специализированного решения Vulnerability Assessment (VA) для регулярного сканирования всех элементов корпоративной инфраструктуры на предмет выявления известных уязвимостей в операционных системах и ПО. Обеспечение возможности оперативного устранения выявленных угроз и выполнения интеграции с системами сетевой безопасности и аналитики для изоляции или фильтрования доступа к узлам с критическими уязвимостями.

6. Использование системы централизованного сбора, анализа и корреляции событий безопасности (SIEM) для всестороннего комплексного анализа состояния корпоративной инфраструктуры, обеспечивающей:

  • Сбор журнальной информации и событий из всех систем предприятия. Приведение полученных событий к единому виду (нормализация) и агрегация данных.
  • Создание экранов и отчетов для отображения состояния ИТ-инфраструктуры.
  • Создание правил корреляции для выявления связанных событий, которые могут свидетельствовать об атаках и попытки компрометации в ИТ-инфраструктуре организации.
  • Создание правил корреляции на основе рисков для выявления и выделения опасных действий и событий, происходящих на критических системах.
  • Анализ исторических данных для создания новых правил корреляции.
  • Настройку правил для автоматической реакции на обнаруженные события с целью в максимально короткие сроки блокировать и прекратить распространение угроз.

 

Документ обновляется: последняя версия

Нужна помощь или дополнительная информация?

Обращайтесь: тел./факс: +38 (044) 359 05 50

Email: team@netwave.com.ua

 

< Назад в раздел